ASA-2019-00397 – Magento: Execução de código arbitrário através de importações de produtos e atualização de layout de design

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00397

Identificador(es)

ASA-2019-00397, CVE-2019-7896, PRODSECBUG-2298

Título

Execução de código arbitrário através de importações de produtos e atualização de layout de design

Fabricante(s)

Magento, Inc

Produto(s)

Magento

Versão(ões) afetada(s)

Magento versões 2.1.x anteriores a 2.1.18
Magento versões 2.2.x anteriores a 2.2.9
Magento versões 2.3.x anteriores a 2.3.2

Versão(ões) corrigida(s)

Magento versão 2.1.18
Magento versão 2.2.9
Magento versão 2.3.2

Prova de conceito

Desconhecido

Descrição

Um usuário autenticado com privilégios de administrador pode executar código arbitrário por meio da combinação de importação de produto por meio do arquivo csv criado e da atualização de layout XML.

Detalhes técnicos

Desconhecido

Créditos

Edgar Boda-Majer

Referência(s)

PRODSECBUG-2296: Arbitrary code execution through design layout update – CVE-2019-7895
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13

CVE-2019-7896
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7896

CVE-2019-7896
https://nvd.nist.gov/vuln/detail/CVE-2019-7896

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 29 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.